Теги → заплатки
Быстрый переход

Новый класс уязвимостей процессоров Intel рискует похоронить Hyper-Threading: вышли заплатки-выключатели

Казалось бы, что после обнаруженных больше года назад уязвимостей Meltdown и Spectre уже ничто не испугает поклонников и пользователей процессоров Intel. И всё же компании снова удалось нас удивить. Точнее, удивили исследователи уязвимостей в микроархитектуре процессоров Intel. Пакет новых уязвимостей под общим названием microarchitectural data sampling (MDS) грозит поставить крест на технологии многопоточных вычислений или Hyper-Threading (в общем случае ― simultaneous multithreading, SMT). Выяснилось, что атака с помощью одного из вариантов MDS может прервать изоляцию одного из потоков Hyper-Threading и облегчить доступ к чувствительным данным в буферах и портах процессоров (уровнем ниже кеш-памяти первого уровня). Что с этим делать? Первое, что приходит на ум ― отключить Hyper-Threading, что и сделали разработчики ChromeOS. Что при этом станет с производительностью процессоров? Она снизится. Степень замедления может достичь 40 %, а может и больше.

zdnet.com

zdnet.com

Пока мало кто из разработчиков операционных систем и приложений последовал по пути ChromeOS, но заплатки и обновления не задержались. Компания Apple выпустила обновления для фирменных компьютеров и ноутбуков, продающихся с 2011 года. По словам компании, все системы под управлением macOS Mojave 10.14 уже пропатчены. Это предотвратит атаки через Safari и другие приложения. При этом большинство пользователей не должны почувствовать снижения производительности. Полное предотвращение угрозы, тем не менее, подразумевает отключение Hyper-Threading, что может снизить производительность до 40 %. Патчи для ОС Sierra и High Sierra также будут выпущены. Продукцию iPhone, iPad и Watch данные уязвимости не затрагивают.

Компания Google готовит заплатки для Android и будет обновлять Chrome. Следует сказать, что Android надо защищать от уязвимостей MDS только на x86-совместимых платформах (за это отдельное спасибо Intel за процессоры Atom). Патчи для смартфонов и планшетов на платформах Intel должны выпустить производители устройств, а Google уже готова рассылать необходимый для этого исправленный код. Хромбуки (Chrome OS) уже защищены патчами от новых уязвимостей, а в дальнейшем для этого будет исправлена сама операционная система. В то же время Google призывает пользователей убедиться, что производители устройств выпустили необходимые заплатки и (или) эти заплатки предоставили компании Microsoft и Apple как разработчики операционных систем. Для облачных платформ и ЦОД компания Google уже распространила патчи для защиты серверных процессоров от MDS.

Разработчик браузера Firefox компания Mozilla представит пропатченные версии приложения 21 мая. Это будут Firefox версии 67 и Extended Support Release версии 60.7. Браузеры Firefox Beta и Firefox Nightly уже включают необходимые исправления для защиты от новой уязвмости.

Компания Microsoft также выпустила заплатки для операционных систем и облачных платформ. Правда, компания рекомендует получить исправленный микрокод у производителей устройств, хотя также создала страничку для самостоятельной загрузки исправлений. В пакет автоматических обновлений через сервис Windows Update заплатка также внесена и будет распространяться начиная с четверга. Сервис Microsoft Azure уже защищён от новых уязвимостей. Облачный сервис Amazon AWS также пропатчен.

Наконец, вышли заплатки для таких операционных систем на Linux, как Red Hat и Ubuntu. Продолжение следует.

Защита от Spectre в Chrome требует повышенного потребления памяти

Meltdown, Spectre и подобные им критические уязвимости современных центральных процессоров будут иметь негативные последствия для всей компьютерной отрасли ещё долгие годы. Например, в 67-й версии Google Chrome для всех пользователей была включена защита от ошибки Spectre «Изоляция сайта», в результате чего веб-обозреватель стал потреблять на 10–13 % больше оперативной памяти.

Заплатка заставляет Chome создавать больше процессов визуализации. Каждый такой процесс стал более коротким и вызывает меньше внутренних конфликтов, но из-за увеличения их числа происходит перерасход памяти. Это заметный удар по эффективности браузера, и без того имевшего повышенный аппетит к памяти. Путём эксплуатации уязвимостей в алгоритмах предсказания ветвлений Spectre позволяет злоумышленникам получать доступ к защищенной информации в кеш-памяти процессора, что может привести к утечке таких чувствительных для безопасности данных, как пароли, ключи шифрования или информация личного характера.

«Изоляция сайта — крупное изменение в работе Chrome, которое ограничивает каждый процесс визуализации материалами с одного сайта. …Это означает, что даже если атака Spectre будет осуществлена на вредоносном сайте, данные с других открытых сайтов, при общих условиях, не будут загружаться в тот же процесс, и поэтому злоумышленникам будет доступно меньше информации. Это существенно снижает угрозу Spectre», — пояснил Чарли Рейс (Charlie Reis) из Google.

Защита «Изоляция сайта» была доступна в качестве экспериментальной функции с 63-й версии, выпущенной вскоре после раскрытия уязвимостей Meltdown и Spectre, а теперь она активирована у 99 % пользователей Chrome на всех платформах. Команда разработчиков продолжает усердно работать над оптимальным компромиссом между быстродействием и безопасностью.

Возможность обезопасить компьютер от утечек информации дорого стоит, и подобные заплатки в конечном счёте затронут очень многие аспекты. Причём чем выше требования к конфиденциальности, тем больший урон производительности можно ожидать в современных и, особенно, более старых поколениях процессоров.

Заплатка Windows 7 против Meltdown открывает опасную уязвимость

Январские и февральские исправления Microsoft остановили ошибку Meltdown, которая позволяла с помощью изощрённых методов получать пароли из защищённой памяти. Однако исследователь безопасности Ульф Фриск (Ulf Frisk) обнаружил, что исправления открыли гораздо худшую ошибку ядра, которая позволяет любому процессу читать и записывать в любое место памяти ядра.

По словам специалиста, проблема затрагивает только 64-битные операционные системы Windows 7 x64 и Windows Server 2008 R2. Он утверждает, что две заплатки ошибочно устанавливали бит в трансляторе виртуальной-физической памяти, известном как PLM4 (карта страниц четвёртого уровня), что в итоге позволяет пользовательскому приложению обращаться к таблицам страниц ядра.

Модуль управления памятью процессора (MMU) Intel использует эту базу 4-уровневой иерархии таблиц страниц для трансляции виртуального адреса процесса в адрес физической памяти ОЗУ. Правильно установленный бит обычно гарантирует, что ядро имеет эксклюзивный доступ к этим таблицам — в обычных условиях пользователю они недоступны.

В результате, по словам господина Фриска, ошибка делает предельно лёгкой задачу доступа к физической памяти, поскольку в Windows 7 таблица страниц PML4 находится на фиксированном адресе памяти (в Windows 10 адрес случаен). Эта ситуация означает, что злоумышленник также сможет без труда найти таблицу страниц Windows 7, которая доступна всем пользовательским приложениям.

В результате эксплоиту не нужно делать никакой лишней работы — можно просто считывать уже сопоставленную память нужного процесса, если только физическая память дополнительно не защищена расширенными страницами таблиц (EPT), используемыми для виртуализации. Microsoft, кстати, уже исправила ошибку в мартовском обновлении безопасности, переназначив бит разрешения PML4 в правильное значение. Поэтому всем пользователям Windows 7 и Windows Server 2008 R2 рекомендуется немедленно обновиться. Windows 10 и Windows 8.1 не были затронуты проблемой.

Google обнародовала неисправленную уязвимость Microsoft Edge

То ли программное обеспечение становится всё более сложным и неконтролируемым, то ли вопросам безопасности стали уделять больше внимания. Но на этот раз уязвимость выявлена в браузере Microsoft Edge. Вместе с обнародованием информации о дыре в безопасности, исследователь из Google Иван Фратрик (Ivan Fratric) сообщает о возможности обойти защиту Arbitrary Code Guard (AGG) и подвергнуть риску компьютер с Windows 10.

AGG была встроена в версию операционной системы 1703 (Creators Update) для блокирования эксплойтов JavaScript, пытающихся загрузить вредоносный код в память. Технически пользователи могут подвергнуть опасности свои компьютеры, просто посетив сомнительный сайт, посредством которого злоумышленники производят атаку.

Microsoft была уведомлена о существующей уязвимости в ноябре, но всё ещё не выпустила заплатку, потребовавшую больше времени. «Исправление проблемы управления памятью оказалось более сложным, чем предполагалось изначально, и с большой долей вероятности мы не успеем уложиться до выхода февральского пакета обновлений. Команда информационной безопасности настроена представить его 13 марта, однако этот срок выходит за рамки 90-дневного периода неразглашения (в рамках программы Project Zero) и дополнительного 14-дневного льготного периода, связанного с периодичностью выхода обновлений Windows», — сообщается в комментарии Microsoft.

Следовательно, пользователям браузера Microsoft Edge желательно до этого времени постараться избегать не вызывающих доверия сайтов, ссылки на которые, как правило, приходят из непроверенных источников, рассылаются по email и через мессенджеры. Учитывая сравнительно небольшую популярность браузера Edge, количество находящихся в зоне риска пользователей не очень велико, тем не менее Microsoft следовало бы поторопиться с развёртыванием исправления.

Через 4 месяца после выхода BioWare всё ещё исправляет анимацию в Mass Effect: Andromeda

Игроки часто ругают компании за слишком долгую разработку новых частей популярных игр. Mass Effect: Andromeda находилась в цехах BioWare около пяти лет, и столь продолжительный процесс явно не сыграл ей на руку — RPG вышла в марте и вызвала целый шквал критики со стороны игроков. Приключения в галактике Андромеды оказались подпорчены не только довольно слабой историей, но и огромным количеством технических проблем, в особенности, с анимацией лиц. Такое положение дел было особенно странным на фоне отсутствия таких очевидных недоработок в предыдущих играх серии. Как потом сообщил ресурс Kotaku, на самом деле большую часть работ студия проделала в последние 18 месяцев перед релизом.

Самые худшие проблемы с анимацией вроде стрельбы из тыльной стороны оружия, мертвенных глаз и пугающих оскалов ключевых персонажей, были исправлены довольно быстро, но и сегодня разработчики четвёртой игры во вселенной Mass Effect продолжают выпускать заплатки, призванные сделать анимацию более правдоподобной. Сейчас BioWare уже дошла до исправления более тонких анимационных недоработок.

BioWare вырезала эту блуждающую блаженную улыбку Сары Райдер из вступительной сцены с демонстрацией корабля «Буря» (слева — было, справа — стало)

BioWare вырезала эту блуждающую блаженную улыбку Сары Райдер из вступительной сцены с демонстрацией корабля «Буря» (слева — было, справа — стало)

YouTube-блогер Yongyea отслеживает изменения, которые приносят новые апдейты. Иногда речь идёт о небольших доработках, а порой переделываются целые сцены. В последней заплатке были изменены углы камеры, освещение и анимация губ в ряде сцен. Подробный взгляд на улучшения, которые приносит заплатка, приводится в видеоролике:

Учитывая сообщения о сокращениях в BioWare Montreal и заморозке серии Mass Effect, любопытно видеть, что остатки сотрудников студии предпринимают попытки шаг за шагом улучшить Andromeda. Похоже, однопользовательских дополнений к Andromeda игроки уже не увидят, а вот в многопользовательском режиме недавно появился новый персонаж-батарианец. Кстати, с последним обновлением Mass Effect: Andromeda избавилась от DRM-защиты Denuvo.

AMD признаёт проблемы с Crimson и уже выпустила обновление

Практически ни один большой проект на стадии запуска не обходится без проблем. Все мельчайшие нюансы учесть просто невозможно. Сработал закон Мерфи и для нового проекта AMD —  пакета драйверов Crimson с новой панелью управления, призванной заменить устаревший интерфейс Catalyst Control Center. По многочисленным сообщениям пользователей, Crimson действительно обеспечивает серьёзный прирост производительности, но на некоторых картах устанавливает скорость вращения вентилятора на 20 %, вне зависимости от температур и напряжений. Ситуация возникает при сбросе настроек Overdrive; пока замечены случаи такого поведения Crimson с картами семейства HD 7000 и некоторыми решениями семейства Radeon 300 и 200.

speedtest.net.in

speedtest.net.in

Разумеется, такая проблема относится к разряду серьёзных: современный мощный графический адаптер выделяет много тепла — как само его сердце, графический процессор, так и силовые транзисторы подсистемы питания. И недостаток охлаждения под нагрузкой может привести к выходу дорогостоящей видеокарты из строя. В обычных условиях это маловероятно, но в режиме разгона или при многочасовом тестировании вероятность необратимых повреждений графического адаптера существенно возрастает. Любопытно, что решения на базе процессора Fiji, такие как Fury, Fury X и Nano данной проблеме, похоже, не подвержены.

К счастью, современные графические процессоры имеют средства защиты от перегрева, такие как снижение тактовых частот и даже отключение. Возможно поэтому некоторые пользователи, установившие Crimson, сообщили о падении производительности, не обратив внимания на температуру ядра и скорость вращения вентиляторов. Сама AMD официально заявила, что знает о существовании проблемы и считает её серьёзной. Как и было обещано, состоялся выпуск обновления, решающего данную проблему. Ознакомиться со списком исправлений можно здесь, а загрузить AMD Radeon Software Crimson Edition 15.11.1 Beta — в соответствующем разделе веб-сайта компании.

Microsoft выпустила майскую порцию патчей для своих продуктов

Корпорация Microsoft опубликовала на своём сайте техподдержки майскую порцию бюллетеней безопасности с описанием новых дыр в программных продуктах.

foxnews.com

foxnews.com

На этот раз выпущено восемь бюллетеней, содержащих сведения о 13 уязвимостях в операционных системах Windows различных версий, браузере Internet Explorer и приложениях пакета Office. Большинство «дыр» позволяют злоумышленникам выполнить произвольный вредоносный код на удалённом компьютере или повысить уровень привилегий в атакуемой системе.

Ни один из патчей не предназначен для платформы Windows XP и набора программ Office 2003, поскольку техническая поддержка этих продуктов была полностью прекращена корпорацией Microsoft в начале апреля. Впрочем, справедливости ради нужно сказать, что редмондская корпорация недавно выпустила критическое обновление для IE на Windows XP, несмотря на окончание поддержки.

softpedia.com

softpedia.com

Но, тем не менее, эксперты говорят, что отсутствие патчей для Windows XP и Office 2003 может привести к новой волне атак на эти платформы. Дело в том, что, по оценкам экспертов, более половины «дыр», устранённых в текущем месяце, могут иметь отношение к названным продуктам.

Так или иначе, Microsoft настоятельно рекомендует отказаться от использования устаревших платформ и перейти на поддерживаемые продукты, апдейты для которых доступны здесь

Microsoft выпустила внушительную порцию патчей

Корпорация Microsoft выпустила ежемесячную порцию апдейтов для своих программных продуктов: «дыры» устранены в операционных системах Windows, офисных приложениях, браузере Internet Explorer, пакетах Exchange, Visual Studio, SharePoint и пр.

Иллюстрация pureinfotech.com

Иллюстрация pureinfotech.com

Всего редмондская компания опубликовала 11 бюллетеней безопасности, содержащих информацию о 24 уязвимостях. Один из апдейтов устраняет критически опасную брешь в библиотеке Microsoft GDI+: эксплуатируя эту уязвимость, злоумышленники могут выполнить произвольный программный код на атакуемом компьютере через сформированный особым образом графический файл в формате TIFF.

Для Internet Explorer выпущен кумулятивный патч, закрывающий сразу несколько «дыр». Некоторые из них могут применяться для захвата полного контроля над удалённым компьютером.

Закрыта также уязвимость библиотеки выполнения сценариев, которая делает возможным удалённое выполнение кода при условии, что злоумышленник сможет убедить пользователя посетить специально созданный веб-сайт. Это обновление имеет уровень «критический» для Windows Script 5.6, Windows Script 5.7 и Windows Script 5.8, которые уязвимы во всех поддерживаемых выпусках Windows.

В целом в текущем году Microsoft опубликовала 106 бюллетеней безопасности, содержащих сведения о 330 уязвимостях. Несмотря на то, что для многих пользователей растущее количество исправлений может означать, что выпускающиеся продукты содержат большее количество «дыр», эксперты полагают, что в первую очередь, увеличение числа «заплаток» означает быстрое реагирование на существующие бреши со стороны компании. 

Microsoft залатает три десятка «дыр» в своих продуктах

В предстоящий вторник, 14 мая корпорация Microsoft представит внушительный комплект патчей для своих программных решений.

Как сообщается в предварительном уведомлении, всего компания планирует выпустить десять обновлений безопасности, устраняющих в общей сложности 33 уязвимости и затрагивающих Windows, Office, Internet Explorer, .NET Framework, Lync и другие продукты софтверного гиганта. Два апдейта имеют статус критических, остальные маркированы как «важные».

В опубликованном Microsoft документе отмечается, что некоторые «дыры» могут быть использованы злоумышленниками с целью захвата контроля над пользовательским компьютером и выполнения на нем произвольного вредоносного кода. Именно по этой причине специалисты по информационной безопасности рекомендуют не затягивать с инсталляцией заплаток.

Загрузить патчи можно будет через встроенные в Windows средства автоматического обновления.

Материалы по теме:

Источник:

Microsoft подготовила мартовский комплект патчей для своих продуктов

Корпорация Microsoft опубликовала предварительную информацию об очередной порции заплаток для своих программных решений, которая будет выпущена во вторник, 12 марта.

Как сообщается в предварительном уведомлении, всего компания намерена представить семь обновлений безопасности, устраняющих бреши в операционных системах Windows XP/Vista/7/8/RT, серверных платформах Windows Server 2008/2008 R2/2012 и SharePoint Server, офисных приложениях различных редакций, браузере Internet Explorer и плагине Silverlight. Ряд обнаруженных уязвимостей носят критически опасный характер и могут использоваться злоумышленниками для получения несанкционированного доступа к удаленному компьютеру и выполнения на нем произвольного программного кода.

Скачать патчи можно будет через встроенные в Windows средства автоматического обновления. Во избежание проблем с безопасностью компьютера, рекомендуется установить апдейты при первой же возможности.

Материалы по теме:

Источник:

Microsoft подготовила первый в этом году комплект патчей для своих продуктов

Корпорация Microsoft намерена отметить начало года выпуском внушительного набора заплаток для своих программных решений.

Как сообщается в предварительном уведомлении, во вторник 8 января компания представит семь обновлений безопасности, устраняющих двенадцать уязвимостей в операционных системах Windows различных редакций, офисных приложениях, платформе .NET Framework, а также линейке серверных продуктов и инструментарии Developer Tools. Два бюллетеня безопасности маркированы Microsoft как критические, остальные носят статус важных.

Вместе с заплатками Microsoft выпустит обновленную версию утилиты Windows Malicious Software Removal Tool, предназначенной для поиска и удаления наиболее распространенных вредоносных программ.

Скачать патчи можно будет через встроенные в Windows средства автоматического обновления либо воспользовавшись службой Microsoft Update. В виду опасности ряда обнаруженных брешей, специалисты корпорации рекомендуют пользователям не затягивать с установкой апдейтов и установить их при первой же возможности.

Материалы по теме:

Источник:

Google закрыла почти два десятка уязвимостей в Chrome 17

Разработчики Google выпустили внушительную порцию заплаток для браузера Chrome, обновив приложение до версии 17.0.963.65.

В новой редакции программы специалисты компании устранили недоработки в коде продукта и ликвидировали 17 опасных уязвимостей, допускающих возможность захвата злоумышленниками полного контроля над удаленным компьютером. Во избежание проблем с безопасностью веб-обозревателя, в Google рекомендуют не затягивать с инсталляцией патчей и советуют пользователям обновить Chrome при первой же возможности.

Семнадцатая сборка Chrome увидела свет 8 февраля. При подготовке к выпуску обновленной версии браузера разработчики сосредоточили усилия на реализации механизма загрузки и рендеринга страниц в фоновом режиме, функционирующего в момент ввода пользователем URL-адресов, и улучшениях системы безопасности, в состав которой вошел модуль проверки загружаемых из Сети файлов.

Согласно статистике Net Applications, рыночная доля Chrome по состоянию на начало марта составляла почти 19%. В списке самых распространенных веб-обозревателей разработка корпорации Google фигурирует на третьей позиции. По данным StatCounter, Chrome является самым популярным браузером в Рунете.

Материалы по теме:

Источник:

Microsoft подготовила комплект патчей для своих продуктов

Корпорация Microsoft намерена выпустить во вторник, 14 февраля очередную порцию заплаток для своих программных решений.

Согласно опубликованной в предварительном уведомлении информации, всего компания планирует представить девять обновлений безопасности, устраняющих два десятка с гаком уязвимостей в операционных системах Windows различных редакций, браузере Internet Explorer, пакете офисных приложений Microsoft Office, а также платформах .NET Framework и Silverlight. Четыре бюллетеня безопасности маркированы Microsoft как критические, остальные носят статус важных.

В силу того, что подготовленный Microsoft комплект патчей устраняет "дыры", которые теоретически могут быть использованы злоумышленниками с целью захвата полного контроля над удаленным компьютером и выполнения на нем произвольного вредоносного кода, рекомендуется установить апдейты при первой же возможности. Загрузить патчи можно будет, воспользовавшись встроенными в Windows средствами автоматического обновления.

Материалы по теме:

Источник:

Micrоsоft подготовила очередную порцию патчей

В ближайший вторник, 13 декабря команда разработчиков Microsoft выпустит очередную порцию заплаток для своих программных продуктов.

Как сообщается в предварительном уведомлении, всего компания намерена представить 14 обновлений, устраняющих два десятка уязвимостей в операционных системах Windows различных версий, пакетах офисных приложений и браузере Internet Explorer. Три бюллетеня безопасности маркированы Microsoft как критические, остальные носят статус важных.

 

 

Вместе с патчами Microsoft выпустит обновленную версию утилиты Windows Malicious Software Removal Tool, предназначенной для поиска и удаления распространенных вредоносных программ.

Скачать апдейты можно будет через встроенные в Windows средства автоматического обновления либо воспользовавшись службой Microsoft Update. Во избежание проблем с информационной безопасностью компьютера, произвести установку патчей рекомендуется при первой же возможности.

Материалы по теме:

Источник:

Oracle закрыла уязвимости в платформе Java SE

Корпорация Oracle сообщила о выпуске набора обновлений для входящего в состав платформы Java Standart Edition (SE) шестой и седьмой редакций программного инструментария.

Согласно опубликованной специалистами Oracle информации, представленные апдейты -Java SE 6 Update 29 и Java SE 7 Update 1 - устраняют два десятка уязвимостей, пять из которых носят статус опасных и теоретически могут использоваться злоумышленниками для получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольных операций. Бреши обнаружены во многих компонентах платформы, в том числе и в исполнительной среде Java Runtime Environment (JRE).

Установить заплатки для Java SE настоятельно рекомендуется всем пользователям. Загрузить патчи можно с сайта компании-разработчика по этой ссылке либо посредством встроенных в Java средств автоматического обновления.

 

 

О важности своевременного обновления Java свидетельствуют исследования экспертов по информационной безопасности, акцентирующие внимание на беспрецедентном  росте числа атак на упомянутую платформу. Согласно последним отчетам Microsoft, только за прошедший квартал было зафиксировано свыше 6 миллионов случаев применения Java-эксплойтов. При этом значительное количество хакерских атак были связаны с эксплуатацией брешей в среде JRE, установленной на большинстве компьютеров под управлением операционных систем Windows, Linux и Mac OS X.

Столь внушительный масштаб угроз, по мнению экспертов, обусловлен многообразием программных решений, в дистрибутивы которых включены устаревшие версии платформы Java, а также посредственным отношением пользователей к безопасности своего рабочего места и нежеланием своевременно обновлять установленные на ПК приложения. Обеспокоенность специалистов Microsoft разделяют вирусные аналитики "Лаборатории Касперского" и ESET, также регулярно отмечающие в своих отчетах высокую активность эксплойтов для Java.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥